Molte Google Cloud risorse possono avere indirizzi IP interni ed esterni. Ad esempio, puoi assegnare un indirizzo IP interno ed esterno alle istanze Compute Engine. Le istanze utilizzano questi indirizzi per comunicare con altre risorse e sistemi esterni. Google Cloud
Ogni interfaccia di rete utilizzata da un'istanza deve avere un indirizzo IPv4 interno principale. Ogni interfaccia di rete può avere anche uno o più intervalli IPv4 di alias e un indirizzo IPv4 esterno. Se l'istanza è collegata a una subnet che supporta IPv6, a ogni interfaccia di rete possono essere assegnati anche indirizzi IPv6 interni o esterni.
Un'istanza può comunicare con le istanze della stessa rete VPC (Virtual Private Cloud), utilizzando l'indirizzo IPv4 interno dell'istanza. Se le istanze hanno IPv6 configurato, puoi anche utilizzare uno degli indirizzi IPv6 interni o esterni dell'istanza. Come best practice, utilizza indirizzi IPv6 interni per la comunicazione interna.
Per comunicare con internet, puoi utilizzare un indirizzo IPv4 o IPv6 esterno configurato sull'istanza. Se nell'istanza non è configurato alcun indirizzo esterno, Cloud NAT può essere utilizzato per il traffico IPv4.
Analogamente, devi utilizzare l'IPv4 o l'IPv6 esterno dell'istanza per connetterti alle istanze esterne alla stessa rete VPC. Tuttavia, se le reti sono connesse in qualche modo, ad esempio tramite il peering di rete VPC, puoi utilizzare l'indirizzo IP interno dell'istanza.
Per informazioni su come identificare l'indirizzo IP interno ed esterno per le tue istanze, consulta Visualizzare la configurazione di rete di un'istanza.
Indirizzi IP interni
Alle interfacce di rete di un'istanza vengono assegnati gli indirizzi IP della subnet a cui sono collegate. Ogni interfaccia di rete ha un indirizzo IPv4 interno primario, assegnato dall'intervallo IPv4 principale della subnet. Se la subnet ha un intervallo IPv6 interno, oltre all'indirizzo IPv4 interno primario, facoltativamente puoi configurare l'interfaccia di rete con un indirizzo IPv6 interno principale.
Gli indirizzi IPv4 interni possono essere assegnati nei seguenti modi:
- Compute Engine assegna automaticamente un singolo indirizzo IPv4 dagli intervalli di subnet IPv4 principali.
- Puoi assegnare un indirizzo IPv4 interno specifico quando crei un'istanza di calcolo.
Gli indirizzi IPv6 interni possono essere assegnati alle istanze collegate a una subnet con un intervallo IPv6 interno nei seguenti modi:
- Quando configuri un indirizzo IPv6 interno sulla vNIC di un'istanza,
Compute Engine assegna un singolo intervallo
/96
di indirizzi IPv6 dall'intervallo IPv6 interno della subnet. - Puoi assegnare un indirizzo IPv6 interno specifico quando crei un'istanza.
Puoi anche prenotare un indirizzo interno statico dall'intervallo IPv4 o IPv6 della subnet e assegnarlo a un'istanza.
Le istanze Compute possono anche avere intervalli e indirizzi IP di alias. Se hai più di un servizio in esecuzione su un'istanza, puoi assegnare a ogni servizio il proprio indirizzo IP univoco.
Nomi DNS interni
Google Cloud risolve automaticamente il nome DNS completo (FQDN) di un'istanza negli indirizzi IP interni dell'istanza. I nomi DNS interni funzionano solo all'interno della rete VPC dell'istanza.
Per ulteriori informazioni sui nomi di dominio completi (FQDN), consulta DNS interno.
Indirizzi IP esterni
Se devi comunicare con internet o con risorse di un'altra rete VPC, puoi assegnare un indirizzo IPv4 o IPv6 esterno a un'istanza. Se le regole firewall o i criteri del firewall gerarchico consentono la connessione, le origini esterne a una rete VPC possono raggiungere una risorsa specifica utilizzando il relativo indirizzo IP esterno. Solo le risorse con un indirizzo IP esterno possono comunicare direttamente con le risorse esterne alla rete VPC. La comunicazione con una risorsa tramite un indirizzo IP esterno può comportare addebiti aggiuntivi.
Gli indirizzi IPv4 esterni sono disponibili per tutte le istanze di calcolo. Quando configurerai un indirizzo IPv4 esterno sulla vNIC di un'istanza, verrà assegnato un singolo indirizzo IPv4 dagli intervalli di indirizzi IPv4 esterni di Google. Per maggiori informazioni, consulta Dove posso trovare gli intervalli IP di Compute Engine.
Gli indirizzi IPv6 esterni sono disponibili per le istanze Compute Engine collegate a una subnet con un intervallo IPv6 esterno. Quando configuri un indirizzo IPv6 esterno nell'interfaccia di rete dell'istanza, viene assegnato un singolo intervallo
/96
di indirizzi IPv6 dall'intervallo IPv6 esterno della subnet.Puoi anche prenotare un indirizzo IPv6 esterno statico dall'intervallo IPv6 della subnet e assegnarlo a un'istanza di calcolo.
Alternative all'utilizzo di un indirizzo IP esterno
Gli indirizzi IP interni o privati offrono una serie di vantaggi rispetto agli indirizzi IP esterni o pubblici, tra cui:
- Superficie di attacco ridotta. La rimozione degli indirizzi IP esterni dalle istanze di calcolo rende più difficile per gli utenti malintenzionati raggiungere le istanze e sfruttare potenziali vulnerabilità.
- Maggiore flessibilità. L'introduzione di un livello di astrazione, come un bilanciatore del carico o un servizio NAT, consente di fornire servizi più affidabili e flessibili rispetto agli indirizzi IP esterni statici.
La tabella seguente riassume i modi in cui le istanze di calcolo possono accedere o essere accessibili da internet quando non hanno un indirizzo IP esterno.
Metodo di accesso | Soluzione | Ideale se |
---|---|---|
Interattiva | Configurare il Forwarding TCP per Identity-Aware Proxy (IAP) | Vuoi utilizzare servizi amministrativi come SSH e RDP per connetterti alle tue istanze di backend, ma le richieste devono superare i controlli di autenticazione e autorizzazione prima di raggiungere la risorsa di destinazione. |
Recupero | Gateway Cloud NAT | Vuoi che le istanze Compute Engine che non dispongono di indirizzi IP esterni si connettano a internet (in uscita), ma che gli host esterni alla tua rete VPC non possano avviare le proprie connessioni alle tue istanze di calcolo (in entrata). Potresti utilizzare questo approccio per gli aggiornamenti del sistema operativo o per le API esterne. |
Secure Web Proxy | Devi isolare le istanze Compute Engine da internet creando nuove connessioni TCP per loro conto, rispettando al contempo le norme di sicurezza amministrate. | |
Pubblicazione | Creare un bilanciatore del carico esterno | Vuoi che i client si connettano alle risorse senza indirizzi IP esterni in qualsiasi parte di Google Cloud , proteggendo al contempo le tue istanze di calcolo da attacchi DDoS e attacchi diretti. |
Indirizzi IP regionali e globali
Quando elenchi o descrivi gli indirizzi IP nel tuo progetto, Google Cloud
li etichetta come globali o regionali, il che indica come viene utilizzato un determinato indirizzo. Quando associ un indirizzo a una risorsa regionale, ad esempio un'istanza, Google Cloud etichetta l'indirizzo come regionale.
Le regioni sono Google Cloud
regioni, ad esempio us-east4
o europe-west2
.
Gli indirizzi IP globali vengono utilizzati nelle seguenti configurazioni:
- Indirizzi IP interni globali: accedi alle API di Google tramite endpoint o accesso ai servizi privati
- Indirizzi IP esterni globali: bilanciatori del carico di rete con proxy esterno e bilanciatori del carico delle applicazioni esterni che utilizzano una rete di livello Premium
Per istruzioni su come creare un indirizzo IP globale, consulta Prenota un nuovo indirizzo IP esterno statico.
Panoramica dell'SLA per il networking di Compute Engine
Compute Engine dispone di un accordo sul livello del servizio (SLA) che definisce gli obiettivi del livello di servizio (SLO) per la percentuale di uptime mensile per i livelli di servizio di rete.
Quando crei un'istanza Compute Engine, per impostazione predefinita viene visualizzato un indirizzo IP interno. Inoltre, puoi configurare un indirizzo IP esterno con la rete del livello Premium (predefinito) o del livello Standard. Il livello di servizio di rete scelto dipende dai tuoi requisiti di costo e qualità del servizio. Ogni livello di servizio di rete ha un SLO diverso.
Quando crei l'istanza di calcolo, puoi configurare più NIC collegate all'istanza e ciascuna NIC può avere una configurazione di rete diversa, come mostrato nel seguente diagramma:
Figura 1. Un'istanza con tre schede NIC, ciascuna delle quali gestisce un traffico di rete diverso con livelli di servizio di rete diversi.
Nel diagramma precedente, l'istanza di esempio denominata VM appliance ha tre NIC, configurate come segue:
nic0
è configurato con una subnet IP interna.nic1
è configurato con una subnet IP esterna e utilizza il livello di rete standard.nic2
è configurato con una subnet IP esterna e utilizza il livello di rete Premium.
In questo esempio, l'istanza VM non è una VM ottimizzata per la memoria. A seconda della NIC che presenta una perdita di connettività, sono applicabili diversi SLO. L'elenco seguente descrive l'SLA per le diverse NIC in questo esempio.
nic0
: una VM a istanza singola con indirizzi IP interni. La percentuale di uptime mensile è pari al 99,9%.nic1
: una VM a istanze singole con un indirizzo IP esterno che utilizza il livello di rete standard. Questa VM non è protetta da alcun SLA. Solo più istanze in più zone sono protette al 99,9% con il livello di rete standard.nic2
: una VM a istanza singola con indirizzo IP esterno che utilizza il livello di rete Premium. La percentuale di uptime mensile è del 99,9%. Per più istanze in più zone, la percentuale di uptime mensile è del 99,99% con il livello di networking Premium.
Passaggi successivi
- Visualizza la configurazione di rete di un'istanza.
- Prenota un nuovo indirizzo IP esterno statico.
- Assegnazione di un IP esterno statico a una nuova istanza.
- Scegliere un indirizzo IP interno al momento della creazione dell'istanza.
- Promuovere un indirizzo IP esterno temporaneo.
- Scopri come utilizzare i nomi DNS interni per indirizzare le istanze sulla rete VPC interna.
- Scopri di più sugli indirizzi IP.
- Scopri di più su IPv6.
- Scopri di più sugli indirizzi IP e sul bilanciamento del carico.
- Esamina i prezzi degli indirizzi IP esterni.